المصطفى أوشن يتم الآن في عدد كبير من الدول من بينها المغرب استغلال ثغرة في برنامج Win War المعروف بضغط وفك الملفات. تصنف الثغرة بيوم الصفر (CVE-2025-8088)، وتتعرض لهجوم نشط من مجموعات مرتبطة بروسيا، Paper Werewolf وRomCom.
الأرشيفات المفخخة:
يمكن أن تزرع برمجيات خبيثة في مجلدات بدء تشغيل ويندوز، مما يؤدي إلى اختراق نظامك بصمت..انتهاك صامت ينتظر في مجلد التنزيلات الخاص بك.
فيبدو كأي ملف مضغوط آخر حتى يسيطر على جهازك بصمت. هذه هي حقيقة CVE-2025-8088، ثغرة يوم الصفر في عبور المسار في WinRAR، والتي أكدت الآن تعرضها للاستغلال النشط.
فيبدو كأي ملف مضغوط آخر حتى يسيطر على جهازك بصمت. هذه هي حقيقة CVE-2025-8088، ثغرة يوم الصفر في عبور المسار في WinRAR، والتي أكدت الآن تعرضها للاستغلال النشط.
تتيح الثغرة للمهاجمين زرع ملفات تنفيذية خبيثة أو ملفات اختصار مباشرة في مجلدات بدء تشغيل ويندوز عندما يقوم مستخدم غير متوقع بفك ضغط أرشيف تم تهيئته خصيصًا. عند إعادة تشغيل النظام، يتم تشغيل البرمجية الخبيثة تلقائيًا، مما يمنح المتسللين استمرارية كاملة.
"هذا ليس نظريًا. لقد رصدنا حملات في العالم الحقيقي تستغل هذه الثغرة لتحقيق اختراق النظام في غضون ثوان من فك الضغط"، حذر أنطون تشيريبانوف، باحث أول في البرمجيات الخبيثة في ESET.
"هذا ليس نظريًا. لقد رصدنا حملات في العالم الحقيقي تستغل هذه الثغرة لتحقيق اختراق النظام في غضون ثوان من فك الضغط"، حذر أنطون تشيريبانوف، باحث أول في البرمجيات الخبيثة في ESET.
التفاصيل التقنية لـ CVE-2025-8088
نوع الثغرة:
عبور المسار في فك ضغط الأرشيف
الإصدارات المتأثرة: WinRAR ≤ 7.12 (ويندوز فقط).
التأثير: تنفيذ تعليمات برمجية عن بُعد، الاستمرارية من خلال حقن مجلد بدء تشغيل ويندوز.
الإصدارات المتأثرة: WinRAR ≤ 7.12 (ويندوز فقط).
التأثير: تنفيذ تعليمات برمجية عن بُعد، الاستمرارية من خلال حقن مجلد بدء تشغيل ويندوز.
طريقة التسليم: أرشيف .RAR أو .ZIP خبيث مع مسارات ملفات مدمجة مثل:
..\..\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malicious.lnk
محفز التنفيذ: فك ضغط الأرشيف بإعدادات WinRAR الافتراضية (لا حاجة لتصعيد امتيازات المستخدم).
يستغل المهاجمون الثغرة من خلال تضمين مسارات نسبية في رؤوس الملفات التي تتجاوز قيود الدليل. عند فك الضغط، يتم كتابة الحمولة خارج المجلد المقصود إلى مسارات نظامية حرجة.
..\..\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malicious.lnk
محفز التنفيذ: فك ضغط الأرشيف بإعدادات WinRAR الافتراضية (لا حاجة لتصعيد امتيازات المستخدم).
يستغل المهاجمون الثغرة من خلال تضمين مسارات نسبية في رؤوس الملفات التي تتجاوز قيود الدليل. عند فك الضغط، يتم كتابة الحمولة خارج المجلد المقصود إلى مسارات نظامية حرجة.
"هذا استغلال كلاسيكي لعبور المسار، لكنه مسلح بدقة مخيفة. الحمولة لا تهبط في أي مكان – بل توضع حيث يقوم ويندوز بتشغيلها تلقائيًا"، قال بيتر كوشينار، محلل البرمجيات الخبيثة في ESET.
تُظهر بيانات الأمان وجود اثنين على الأقل من الجهات الفاعلة النشطة:
RomCom – مجموعة تجسس سيبراني مرتبطة بحملات تصيد استهدفت قطاعات الدفاع والمالية والحكومات في الدول المتحالفة مع الناتو.
Paper Werewolf (المعروفة أيضًا بـ GOFFEE) – مجموعة مرتبطة بروسيا تم رصدها تستهدف المؤسسات المحلية، غالبًا بجمع هذه الثغرة مع ثغرات أقدم مثل CVE-2025-6218 لهجمات متتالية.
RomCom – مجموعة تجسس سيبراني مرتبطة بحملات تصيد استهدفت قطاعات الدفاع والمالية والحكومات في الدول المتحالفة مع الناتو.
Paper Werewolf (المعروفة أيضًا بـ GOFFEE) – مجموعة مرتبطة بروسيا تم رصدها تستهدف المؤسسات المحلية، غالبًا بجمع هذه الثغرة مع ثغرات أقدم مثل CVE-2025-6218 لهجمات متتالية.
تتخفى الحملات عادةً في شكل أرشيفات تُظهر كطلبات عمل، أو مناقصات مشاريع، أو فواتير؛ مواضيع تم اختيارها لتجنب الشكوك في البيئات التجارية.
"لقد رأينا ملفات إغراء مثالية بصريًا – شعارات، تنسيق، وحتى قواعد لغوية صحيحة. في اللحظة التي يفك فيها المستخدم ضغط الأرشيف، يبدأ الاختراق"، لاحظ دميتري فولكوف، الرئيس التنفيذي لشركة الاستخبارات الأمنية BI.ZONE.
"لقد رأينا ملفات إغراء مثالية بصريًا – شعارات، تنسيق، وحتى قواعد لغوية صحيحة. في اللحظة التي يفك فيها المستخدم ضغط الأرشيف، يبدأ الاختراق"، لاحظ دميتري فولكوف، الرئيس التنفيذي لشركة الاستخبارات الأمنية BI.ZONE.
قم بالتحديث الآن – لا توجد شبكة أمان للتحديث التلقائي
تم إصدار WinRAR v7.13 في 30 يوليوز 2025، ويصحح الثغرة. ومع ذلك، نظرًا لعدم وجود تحديثات تلقائية في WinRAR، يجب على المستخدمين تنزيل التحديث وتثبيته يدويًا من rarlab.com.
تم إصدار WinRAR v7.13 في 30 يوليوز 2025، ويصحح الثغرة. ومع ذلك، نظرًا لعدم وجود تحديثات تلقائية في WinRAR، يجب على المستخدمين تنزيل التحديث وتثبيته يدويًا من rarlab.com.
الإجراءات الموصى بها فورًا:
قم بالتحديث إلى الإصدار v7.13.
إفحص الأنظمة بحثًا عن ملفات غير متوقعة في مجلدات بدء التشغيل.
إمنع مرفقات .RAR الواردة من مصادر غير موثوقة.
قم بتثقيف الموظفين حول الوعي بالتصيد الاحتيالي – خاصة فرق الموارد البشرية والمشتريات.
"الخطر ليس فقط في الاستغلال – بل في التأخر في اعتماد التصحيح. نموذج التحديث اليدوي لـ WinRAR يعني أن العديد من الأنظمة ستبقى معرضة لأشهر"، حذر بريان كريبس، الصحفي الاستقصائي في الأمن السيبراني.
إفحص الأنظمة بحثًا عن ملفات غير متوقعة في مجلدات بدء التشغيل.
إمنع مرفقات .RAR الواردة من مصادر غير موثوقة.
قم بتثقيف الموظفين حول الوعي بالتصيد الاحتيالي – خاصة فرق الموارد البشرية والمشتريات.
"الخطر ليس فقط في الاستغلال – بل في التأخر في اعتماد التصحيح. نموذج التحديث اليدوي لـ WinRAR يعني أن العديد من الأنظمة ستبقى معرضة لأشهر"، حذر بريان كريبس، الصحفي الاستقصائي في الأمن السيبراني.
لماذا تُعد هذه الثغرة يوم الصفر مهمة؟
هذه ليست مجرد خلل برمجي آخر، إنها هجوم على الثقة في الأدوات اليومية. إذ يستخدم WinRAR ملايين الأشخاص عالميًا، من الطلاب إلى مقاولي الدفاع. عندما يمكن أن يصبح فك ضغط ملف بسيط اختراقًا للنظام، فإن الآثار تمتد إلى الأمن القومي، والبنية التحتية الحيوية، والخصوصية الشخصية.
مع تورط مجموعات تدعمها دول، يخشى الخبراء أن يعاد تدوير هذه الثغرة في حملات سيبرانية طويلة الأمد – على غرار ما حدث مع استغلال EternalBlue بعد الكشف عنه بسنوات.
هذه ليست مجرد خلل برمجي آخر، إنها هجوم على الثقة في الأدوات اليومية. إذ يستخدم WinRAR ملايين الأشخاص عالميًا، من الطلاب إلى مقاولي الدفاع. عندما يمكن أن يصبح فك ضغط ملف بسيط اختراقًا للنظام، فإن الآثار تمتد إلى الأمن القومي، والبنية التحتية الحيوية، والخصوصية الشخصية.
مع تورط مجموعات تدعمها دول، يخشى الخبراء أن يعاد تدوير هذه الثغرة في حملات سيبرانية طويلة الأمد – على غرار ما حدث مع استغلال EternalBlue بعد الكشف عنه بسنوات.
